# 管理 CloudWatch 金丝雀的用户的必需角色和权限
<a name="CloudWatch_Synthetics_Canaries_UserPermissions"></a>

若要查看 Canary 详细信息和 Canary 运行的结果，您必须以附加了 `CloudWatchSyntheticsFullAccess` 或 ` CloudWatchSyntheticsReadOnlyAccess` 策略的用户身份登录。要在控制台中读取所有 Synthetics 数据，您还需要 `AmazonS3ReadOnlyAccess` 和 ` CloudWatchReadOnlyAccess` 策略。要查看金丝雀使用的源代码，您还需要 `AWSLambda_ReadOnlyAccess` 策略。

要创建 Canary ，您必须以具有 ` CloudWatchSyntheticsFullAccess` 策略或类似权限集的用户身份登录。要为金丝雀创建 IAM 角色，您还需要以下内联策略语句：

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "iam:CreateRole",
                "iam:CreatePolicy",
                "iam:AttachRolePolicy"
            ],
            "Resource": [
                "arn:aws:iam::*:role/service-role/CloudWatchSyntheticsRole*",
                "arn:aws:iam::*:policy/service-role/CloudWatchSyntheticsPolicy*"
            ]
        }
    ]
}
```

------

**重要**  
通过向用户授予 `iam:CreateRole`、`iam:CreatePolicy` 和 ` iam:AttachRolePolicy` 权限，用户将获得对 AWS 账户的完全管理访问权限。例如，具有这些权限的用户可以创建一个对所有资源具有完全权限的策略，并将该策略附加到任何角色。请谨慎地为相关人员授予这些权限。

有关附加策略和向用户授予权限的信息，请参阅[更改 IAM 用户的权限](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users_change-permissions.html#users_change_permissions-add-console)和[为用户或角色嵌入内联策略](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_manage-attach-detach.html#embed-inline-policy-console)。